iPhone和iPad均采用苹果自行开发的iOS系统,一名叫克劳斯的外国开发者今天公开一种钓鱼攻击的新方式,展示了App开发者如何使用苹果官方样式的弹窗骗取用户的Apple ID和密码。大陆网友提供化解招数:“有两步验证,别人知道密码又能怎么样?”“只需点按Home键,如果这个弹窗来自于App,那么弹窗会消失。如果来自系统,弹窗依然会存在”。
克劳斯指,弹出窗口代码少于30行,而且每个iOS工程师都能够快速构建自己的钓鱼代码。克劳斯已向苹果公司报告这一问题,并建议将苹果公司要求用户在设置中输入他们的凭证,而不是直接通过一个可以很容易模仿的弹窗,或者弹出框上显示个App图标,以表明应用程序在要求密码而不是来自系统。
这种iOS钓鱼工具并非第一次出现,苹果也有很严格的审核机制,但iOS用户还是要避免从不明渠道下载App。弹窗出现时,若点击Home键后会消失,那可能是来自App的钓鱼攻击。如果来自苹果的系统,弹窗依然会存在。另外,苹果建议用户务必启用双重验证,这样即便你的AppleID被盗,犯罪分子也不可能在没有验证过的设备上登录。
